隱私政策

隱私政策

最後更新：2026-05-14

核心原則：EcoGenogram 的家系圖案件內容存放在你自己掌控的空間 —— 免費版存在你的瀏覽器本地，註冊版存在你自己的 Google Drive 帳戶。案件內容不儲存在 EcoGenogram 的伺服器上，伺服器端也沒有對應的儲存介面。

這是架構設計，不是營運承諾。即使我們的伺服器被入侵，攻擊者也拿不到任何家系圖內容。我們相信，透明優於承諾。

01我們蒐集哪些資料

1.1 家系圖 / 生態圖 / 時間軸內容（存於你掌控的空間）

所有案件內容，包括家庭成員、關係、備註、時間軸事件等，依方案儲存於：

免費版：瀏覽器本地（sql.js + IndexedDB）或你匯出的 .easydb 加密備份檔
註冊版：你自己的 Google Drive 帳戶（透過 OAuth 授權存取個人 AppData folder）

這些案件內容不會儲存在 EcoGenogram 的伺服器上，也不會被用於傳輸暫存以外的目的、備份或分析。協作模式下，伺服器僅作為加密中轉閘門（詳見 §2.2）。

1.2 帳戶資料（僅在你註冊時）

Email 地址（用於登入與通訊）
顯示名稱與頭像（可選）
訂閱狀態與付款記錄（不含完整信用卡號，由金流商 Paddle 處理）
Google OAuth 識別碼（若使用 Google 登入或啟用 Drive 同步）

1.3 技術紀錄

登入時間與 IP（安全稽核用途，90 天後自動清除）
訂閱驗證心跳（僅包含使用者 ID 與時間戳）
匿名使用分析與錯誤回報（可於設定中關閉）

02案件內容如何被處理？

2.1 儲存架構

繪圖引擎在瀏覽器內執行（Konva.js），不依賴伺服器運算
免費版：資料儲存於瀏覽器的 IndexedDB（sql.js 管理的本地 SQLite）
註冊版：資料儲存於使用者自己的 Google Drive AppData folder（透過 OAuth 授權）
.easydb 匯出檔採 AES-256-GCM 加密，金鑰由使用者密碼衍生（PBKDF2）
EcoGenogram 伺服器端沒有對應的案件儲存介面，程式碼層級也沒有對應的資料表 schema

2.2 協作模式下的伺服器中轉

多人共享工作區時，EcoGenogram 伺服器作為加密中轉閘門：在驗證雙方訂閱狀態與權限後，使用檔案擁有者的 OAuth token 代理存取其 Google Drive AppData。過程中：

資料經過伺服器，但不落地儲存（不寫檔、不進資料庫）
不寫入任何 log（連錯誤訊息都經過遮罩）
處理完成後立即從記憶體丟棄
持久化儲存僅存在於使用者自己的 Google Drive 中

這代表：若我們的伺服器發生資料外洩，你的案件內容並不會因此一併外洩 —— 因為它儲存在你自己的 Google 帳戶，不在 EcoGenogram 的伺服器上。

03訂閱與付款

3.1 金流處理

訂閱付款由 Paddle 處理。我們不直接接觸你的信用卡資料；EcoGenogram 伺服器只保留 Paddle 回傳的訂閱狀態（active / past_due / canceled）與付款歷史摘要。

3.2 退場與寬限期

取消訂閱：付費功能可使用到本期結束（月繳到月底、年繳到年底）。期滿後降為唯讀，但檔案內容不會被刪除。
付款失敗：給予 21 天寬限期，期間付費功能正常可用。寬限期過後降為唯讀，恢復付款後立即恢復完整權限。
共享情境：當工作區擁有者的訂閱失效（過寬限期後），所有共享方對該工作區降為唯讀，擁有者無法發送新邀請。資料仍可存取，恢復付款後完全恢復。

資料永遠是你的。無論訂閱狀態如何，你都能用免費版（唯讀）開啟自己的檔案，也能匯出 .easydb 加密備份帶走。EcoGenogram 不會把你的資料鎖住作為留人手段。

04資料共享與第三方

我們不會將你的任何資料販售或分享給第三方。必要的服務供應商僅限：

Paddle（金流商）：處理訂閱付款，符合 PCI-DSS
Google：若你使用 Google 登入或 Drive 同步，OAuth 授權依 Google API 服務條款
Email 服務：帳戶通知、密碼重設與訂閱提醒
雲端主機商：伺服器代管（僅儲存帳戶層資料，不接觸家系圖）

05你的權利（GDPR / 個資法）

存取權：隨時匯出你的帳戶資料（家系圖內容本來就在你手上）
更正權：在設定頁修改個人資料
刪除權：刪除帳戶時，所有伺服器端帳戶資料立即移除；OAuth 授權同步撤銷
可攜權：家系圖資料原本就在你手上（.easydb 可自由攜帶；註冊版的檔案在你自己的 Google Drive）
反對權：可在設定中關閉匿名使用分析

刪除帳戶不會自動清除你 Google Drive 上的家系圖檔案 —— 那是你的資料，請自行在 Google Drive 的「應用程式資料」中刪除。

06Cookie 與本地儲存

我們使用：

必要 Cookie：登入 Session、CSRF 防護
LocalStorage：語言偏好、介面設定
IndexedDB：免費版的家系圖本地資料庫（永不上傳）

我們不使用任何第三方廣告或行為追蹤 Cookie。

07兒童與未成年

EcoGenogram 是專業評估工具，預設使用者為社工、心理師、家族治療師、護理師等專業工作者。未滿 16 歲者請勿建立帳戶。若你是專業工作者並在實務中為兒童繪製家系圖，這些紀錄屬於專業工作紀錄，由你依所屬機構的個資政策保管。

08本政策的變更

若隱私政策有重大變更，我們會在生效前透過 Email 通知註冊使用者，並更新本頁的「最後更新」日期。對既有資料的處理方式不會回溯適用更嚴格的規則 —— 任何提升你權益的變更可立即生效，任何降低你權益的變更需要你明確同意。

09聯絡我們

若有任何隱私相關問題、資料存取請求或申訴，請來信 support@ecogenogram.com。我們通常 1-2 個工作天內回覆。